Cyberkriminelle nutzen Briefpost für QR-Code-Fallen

Kriminelle locken Smartphone-Nutzer mit gefälschten Briefen in die Falle. Sicherheitsbehörden warnen vor einer massiven Welle von Postsendungen, die unter dem Deckmantel seriöser Institutionen wie Banken oder dem Finanzamt erscheinen. Ihr Ziel: Opfer über integrierte QR-Codes auf manipulierte Webseiten zu leiten.

Die perfide Rückkehr der Briefpost

Während digitale Spamfilter immer besser werden, setzen Betrüger wieder auf den klassischen Briefkasten. Experten nennen diese Methode „Quishing“ – eine Kombination aus QR-Code und Phishing. Der Vertrauensvorschuss, den physische Post bei vielen Menschen genießt, macht die Falle besonders gefährlich.

Die Schreiben wirken täuschend echt. Logos, Layout und persönliche Ansprache sind professionell gefälscht. Inhaltlich wird ein dringendes Problem geschildert: eine angebliche Kontosperrung, die Aktualisierung der Steuer-ID oder neue Sicherheitsanforderungen fürs Online-Banking. Die vermeintliche Lösung liefern die Kriminellen gleich mit – in Form eines QR-Codes zum „einfachen“ Scannen mit dem Smartphone.

Passend zum Thema QR‑Code-Betrug: Gefälschte Postsendungen führen per Scan oft direkt auf manipulierte Seiten, die Daten abgreifen oder Schadsoftware installieren. Der kostenlose Anti-Phishing-Guide zeigt in einer klaren 4-Schritte-Anleitung, wie Sie manipulierte QR-Codes erkennen, sichere Verhaltensregeln fürs Smartphone etablieren und im Ernstfall schnell reagieren. Praxisnahe Beispiele und psychologische Erkennungsmerkmale helfen, die häufigsten Tricks zu durchschauen. Anti-Phishing-Guide jetzt kostenlos anfordern

Bankkunden und Steuerzahler im Visier

Besonders betroffen sind aktuell Kunden großer deutschen Banken. Im Umlauf sind gefälschte Schreiben im Design der Commerzbank, Deutschen Bank und Postbank. Sie fordern unter dem Vorwand neuer Sicherheitsrichtlinien zur sofortigen Datenbestätigung auf.

Doch die Angriffe beschränken sich nicht auf den Finanzsektor. Auch gefälschte Behördsschreiben nehmen zu. Landeskriminalämter melden Fälle mit angeblichen Gebühren für Verkehrsverstöße oder Problemen mit der Grundsteuer. Sogar Lockangebote im Namen des ADAC oder von Verkehrsbetrieben mit „Dankesgeschenken“ werden missbraucht. In jedem Fall führt der gescannte Code direkt in die Datenfalle.

Warum das Smartphone zur Zielscheibe wird

Die Verlagerung auf das Mobilgerät ist taktisches Kalkül. Auf dem Smartphone sind betrügerische URLs oft schwerer zu erkennen als am PC-Browser. Beim Scannen geschieht die Weiterleitung meist sofort, ohne dass die volle, verdächtige Webadresse klar sichtbar ist.

Zudem sind private Smartphones häufig schlechter gegen Malware geschützt als Firmencomputer. Ein einziger Scan kann theoretisch ausreichen, um Schadcode im Hintergrund zu installieren, der Passwörter oder Zwei-Faktor-Codes abfängt.

So schützen Sie sich vor der QR-Code-Falle

Angesichts der täuschend echten Fälschungen empfehlen Verbraucherschützer und Polizei ein konsequentes, gesundes Misstrauen.

• Scannen Sie keine QR-Codes aus Briefen blind. Seriöse Banken und Behörden fordern Kunden fast nie per Post zu einem direkten Login via QR-Code auf.
• Druck ist ein Warnsignal. Formulierungen wie „innerhalb von 48 Stunden“ oder Drohungen mit Kontosperrungen sind klassische Phishing-Merkmale.
• Prüfen Sie die Absender. Im Zweifel kontaktieren Sie das Institut über eine selbst recherchierte, offizielle Telefonnummer – nicht die aus dem Brief.
• Achten Sie nach dem Scan auf die URL. Der erste Blick muss in die Adresszeile des Browsers gehen. Wirkt die Webadresse seltsam oder unbekannt, brechen Sie den Vorgang sofort ab.

Die Tatsache, dass Kriminelle in teure Briefkampagnen investieren, zeigt: Die Erfolgsquote dieser hybriden Angriffe ist offenbar hoch. Für Verbraucher bedeutet das, den kritischen Blick vom E-Mail-Postfach auch auf den heimischen Briefkasten auszuweiten.

PS: Sie wollen auf Nummer sicher gehen? Der kompakte Anti-Phishing-Report fasst die wichtigsten Schutzmaßnahmen gegen Quishing zusammen – von einfachen Prüfregeln für QR-Codes bis zu Sofort-Schritten nach einem versehentlichen Scan. Besonders nützlich sind die Checklisten für Bankkunden und der Bonusteil zu typischen psychologischen Fallen. Kostenlosen Anti-Phishing-Report herunterladen